3012250 GI_Proceedings 132 Cover

Hilfe von Informatiksystemen, sehen wir uns mit zwei sehr verschiedenen Disziplinen konfrontiert .... samkeiten zwischen Kindern und Erwachsenen und zeigten, dass Lerntheorien wie Beha- ... aktion mit Lernenden im E-Learning-System dar.
182KB Größe 3 Downloads 444 Ansichten
Entwicklung von E-Learning-Designkriterien und ¨ die Informationssicherheit Implikationen fur Christian J. Eibl Lehrstuhl Didaktik der Informatik und E-Learning Universit¨at Siegen [email protected]

Abstract: Dieser Artikel pr¨asentiert Designkriterien f¨ur E-Learning basierend auf erziehungswissenschaftlichen Erkenntnissen und bringt diese in Verbindung mit Aspekten der Informationssicherheit. Es wird hierbei besonderer Wert auf den Lernprozess und die speziellen Anforderungen von Lernenden gelegt, um das Lernen gegen¨uber der bloßen Verwendung eines Informatiksystems zu priorisieren. Implikationen f¨ur Sicherheits¨uberlegungen durch herausgestellte Probleme werden in ihrer theoretischen Realisierung diskutiert. Als Proof-of-Concept wird eine Proxy-Server-Implementierung vorgestellt.

1

Motivation

Sicherheit und Zuverl¨assigkeit sind wichtige Qualit¨atsfaktoren nahezu aller Informatiksysteme in Produktivumgebungen. Technische Realisierungsfaktoren alleine betrachtet, ohne den Einsatzkontext oder weitere Anpassungen an die Anwendergruppe zu ber¨ucksichtigen, implizieren jedoch keine dauerhafte Akzeptanz auf Client-Seite. Bei einer Definition von E-Learning, weg vom elektronischen Lernen“, hin zu einem enhanced learning“ mit ” ” Hilfe von Informatiksystemen, sehen wir uns mit zwei sehr verschiedenen Disziplinen konfrontiert. Die Anforderungen f¨ur Informatiksysteme k¨onnen u¨ berwiegend durch technisch orientierte Fachgebiete wie Softwaretechnik einschließlich der Software-Ergonomie, Computernetze, Datenbankentwicklung oder Betriebssysteme mit Zugriffskontrollmechanismen geregelt werden. Weitaus schwieriger sind Aspekte, die durch den Anwendungskontext impliziert werden, d.h. in diesem Fall dem Lernen“. Erziehungswissenschaftliche ” Forschung bringt meist abstrakte, theoretische Themen zu Tage wie Lerntheorien, didaktische Prinzipien wie Anwendungs- oder Handlungsorientierung, sowie verschiedene Unterrichtsmethoden. Solche Themen f¨uhren zu Anforderungen, die nicht mehr technisch greifbar und ohne Weiteres in technischen Systemen umsetzbar sind. Das Forschungsprojekt des Autors besch¨aftigt sich mit den Beziehungen dieser beiden Disziplinen. Hierf¨ur sind bestimmte Probleme zu untersuche, die die Interdisziplinarit¨at von E-Learning betreffen: • Welche Disziplin ist prim¨ar und im Fokus f¨ur Sicherheitsuntersuchungen? • Wie interagieren diese Disziplinen und inwiefern implizieren sie einander?

377

• Was ist gutes E-Learning, wenn alle beteiligten Disziplinen eigene Kriterien hierf¨ur ansetzen? Im Folgenden werden wir basierend auf Anforderungen aus der Erziehungswissenschaft Designkriterien und deren Folgerungen f¨ur Sicherheits¨uberlegungen in Hinblick auf eine geeignete Sicherheitsarchitektur f¨ur E-Learning pr¨asentieren.

2

Stand der Forschung und Forschungsmethodik

¨ Weippl [20] gibt einen Uberblick u¨ ber Sicherheitsanforderungen und Themen im Kontext von E-Learning in oberfl¨achlicher Art und Weise. Er betrachtet Risikoanalyseverfahren, sowie informelle, subjektive Anforderungen aus Sicht verschiedener Rollen im System, d.h. nach seiner Aufteilung: Autoren, Manager, Lehrende und Lernende. Er liefert eine allgemeine Einf¨uhrung in Zugriffskontrollmechanismen und beschreibt kryptographische Verfahren. Vorgestellte Problemfelder und L¨osungsm¨oglichkeiten werden nur sehr grob skizziert ohne weiterf¨uhrende Diskussion der Komplexit¨at ihrer Anwendung und des Aufwands ihrer Implementierung in E-Learning-Umgebungen. Graf [8] pr¨asentiert ein Framework f¨ur webbasierte Pr¨ufungen und diskutiert Anforderungen und Schwierigkeiten bei solchen Systemen. Sein Framework zielt auf kontrollierte Umgebungen, z.B. Rechnerpool mit Aufsichtsperson, wobei f¨ur die Vermeidung aufgezeigter Probleme RMI-Nachrichten (RMI = Remote Method Invocation) zwischen den Java Applets auf Client-Seite und der Java Anwendung auf dem Pr¨ufungsserver ausgetauscht werden. Mit diesem Ansatz kann er kritische Elemente wie Zeit-Fairness und Fortsetzung nach tempor¨arer Unterbrechung, sofern noch innerhalb der Pr¨ufungszeit, sicherstellen. Sein Beitrag tr¨agt vergleichsweise wenig zur Problematik allgemeiner Informationssicherheit in E-Learning-Systemen bei, da er sehr stark auf Pr¨ufungsszenarien ausgelegt ist. Allgemein notwendige Untersuchungen bzgl. Datenschutz und Kommunikation sowie Kooperationsm¨oglichkeiten im E-Learning ¨ wurden explizit vernachl¨assigt [8, S. 2]. Uberlegungen bzgl. Datenschutzanforderungen im Bildungsbereich lassen sich in [2] finden. Alicia Anderson untersucht hierbei den Datenschutz in mehreren amerikanischen Pr¨asenzuniversit¨aten, die Informatiksysteme f¨ur die Verwaltung und Speicherung pers¨onlicher Daten verwenden. Als Hauptproblem stellte sie dabei Folgendes heraus: the academic culture often puts a lower priority on information ” security in relation to openness“ [2, p. 16]. Diese culture of openness“ verstehe ihrer Mei” nung nach Sicherheit und Datenschutz oftmals als st¨orende Techniken, obwohl es bereits mehrere Vorf¨alle gebe, die den organisatorischen Wert und den Bedarf nach Schutz von Daten unterstreichen w¨urden. Da der Stand der Forschung im Bereich Sicherheit im E-Learning noch sehr oberfl¨achlich und wenig ausgepr¨agt ist, strebt das hier vorgestellte Forschungsprojekt eine detaillierte Analyse, sowie die Entwicklung einer Sicherheitsarchitektur f¨ur E-Learning an. Die Forschung folgt hierbei der Forschungsmethodik wie in Abb. 1 dargestellt. W¨ahrend der Hauptteil der Untersuchungen in der mittleren S¨aule angesiedelt werden kann, sind die angeschlossenen Disziplinen Psychologie/P¨adagogik und Informationssicherheit als seitliche S¨aulen mit ihren Beziehungen zur mittleren S¨aule angegeben. Die mittlere S¨aule besteht aus vier Phasen, wobei ein finaler Vorschlag f¨ur ein sicheres E-

378

milestones

psychology and pedagogic

computer scientific basis of e−learning theory

information security

empiricism

propositions for implementation of special architectures

theories of learning and understanding

prototype for integrity protection security agent (proxy)

digital signature counter measures cryptography

suggestion for evaluation

security policy models application security analysis of LMS e.g. Moodle

roles of learners and staff

propositions for learning process psychological models

metadata for pedagogical models pedagogical models

risk analysis

fault tree analysis

role description

security model

practice

design unit of study

use cases

security services

appraisal metadata and standardization multimedia database

design training course "virtuelle Fachhochschule"

information security

Abbildung 1: Forschungsmethodik mit Fokus auf Informatik und starken Beziehungen zu erziehungswissenschaftlichen Themen

Learning-System in der obersten Phase, d.h. Endphase, vorgestellt werden soll. Aus der linken S¨aule f¨ur Psychologie und P¨adagogik kommen Implikationen f¨ur Funktionalit¨aten, die es gilt zu implementieren. Das kann grob zusammengefasst werden zu Fragen des kognitiven, sowie organisierten Lernprozesses, altersabh¨angige Unterschiede bei Lernenden und zu beachtende Kommunikationsbed¨urfnisse (vgl. Abschnitt 3.1). Die Disziplin der Informationssicherheit steuert zum Forschungsprojekt Klassifikationen von Sicherheitsdiensten bei, sowie Sicherheitsmodelle, z.B. das TFI-Modell (technical-formal-informal) ˚ von Ahlfeldt et al. [1], das die Notwendigkeit der Betrachtung formal- und informaladministrativer Sicherheit betont im Vergleich zu der meist singul¨ar betrachteten technischen Sicherheit. Bringt man beide Seitendisziplinen zusammen, so sind wir mit zwei sehr verschiedenen Ansichten und Ausrichtungen konfrontiert. Die Themen der linken S¨aule sind weit von einer technisch l¨osbaren und f¨ur weitere Analyse direkt verwendbaren Repr¨asentation entfernt, bilden jedoch eine gewisse Basis von Notwendigkeiten, die erf¨ullt sein m¨ussen f¨ur eine akzeptable und das Lernen unterst¨utzende E-Learning-Umgebung. Modelle und Methoden der Informationssicherheit auf der anderen Seite sind stark technisch orientiert, ihnen fehlt jedoch im Allgemeinen der Bezug zu E-Learning. Daraus folgt, dass eine wichtige Aufgabe dieses Forschungsprojektes darin besteht, die abstrakten, p¨adagogischen Anforderungen auf technisch nutzbare Themen zum Finden von passenden Sicherheitsmechanismen und Maßnahmen abzubilden, um eine Integration angepasster Verfahren in E-Learning zu erm¨oglichen. Nachdem erste Risikoanalyseergebnisse basierend auf Rollenbeschreibungen (in Abstimmung mit dem genannten TFI-Sicherheitsmodell) und traditionellen Lernumgebungen in [6] pr¨asentiert wurden, wird in diesem Artikel eine Analyse basierend auf erziehungswissenschaftlichen Forderungen verfolgt.

379

3 3.1

Anforderungsanalyse Erziehungswissenschaftliche Betrachtung

Betrachten wir ein Informatiksystem, das durch angemessene Mechanismen gesch¨utzt werden soll, so scheint es das Einfachste zu sein, dieses System minimal zu gestalten. Je h¨oher die Komplexit¨at von Software, umso wahrscheinlicher existieren Sicherheitsl¨ucken und werden eines Tages aufgedeckt und ausgenutzt. Es stellt sich also die Frage, warum man nicht auf ein minimalistisches System setzt, das nicht viel mehr kann, als Material zur Verf¨ugung zu stellen. Die Antwort hierauf ist leicht zu finden: Weil es nicht ausreicht f¨ur einen erfolgreichen und hinreichend gut unterst¨utzten Lernprozess. Hamid fragte in [9] provokant, ob es bei E-Learning das e“ (im Sinne von elektronisch“) ist oder das ” ” Lernen“ das z¨ahle. Er stellte heraus, dass die Betonung in der Vergangenheit vor allem ” auf dem e“ lag und Lernerfolg, sowie Akzeptanzsteigerung und -erhalt vernachl¨assigt ” wurden. Es bed¨urfe daher eines Wechsels, um das Lernen wieder st¨arker in den Vordergrund zu stellen. Die Verwendung von Informatiksystemen alleine reicht nicht aus, um enhanced learning“, wie oben als Definition f¨ur E-Learning gegeben, zu erreichen. Es ist ” daher sinnvoll, Anforderungen und Erkenntnisse f¨ur den traditionellen Lernprozess und f¨ur Lernumgebungen auf ihr elektronisches Analogon zu u¨ bertragen. Bei Betrachtung erziehungswissenschaftlicher und psychologischer Literatur ergeben sich Anforderungen, die sich zu den folgenden sechs Punkten zusammenfassen lassen: P1 : Gleichbehandlung und gleiche Chancen Gleichheit kann in verschiedenen Sichtweisen betrachtet werden und hat verschiedene Aspekte mit a¨ hnlicher Relevanz, z.B. Geschlecht, Alter, Nationalit¨at, Vorwissen oder technische Ausstattung. Bez¨uglich der Gleichbehandlung und Anpassung an die jeweilige Altersgruppe ist zu erw¨ahnen, dass im letzten Jahrhundert viele Untersuchungen aus lernpsychologischer, sowie erziehungswissenschaftlicher Sicht angestrebt wurden, um den kognitiven Lernprozess und seine Beziehungen zu sozialen Verbindungen und mentaler Reife zu kl¨aren. Knowles et al. [11], zum Beispiel, untersuchten die Unterschiede und Gemeinsamkeiten zwischen Kindern und Erwachsenen und zeigten, dass Lerntheorien wie Behaviorismus oder Konstruktivismus mit ihren repr¨asentativen Modellen f¨ur Wissensaneignung nicht f¨ur alle Alterstufen bei Lernenden gleichermaßen verwendet werden k¨onnen. Entsprechend dieser Untersuchungsergebnisse ver¨andern Menschen ihr Lernverhalten von imitierenden Lernenden hin zu selbstbestimmten, kreativen Lernenden so signifikant, dass Aktivit¨atsanforderungen und Forderungen nach M¨oglichkeiten, den Lernprozess zu beein¨ flussen, enorm ansteigen. Gleichzeitig sinkt die Akzeptanz externer Kontrolle und Uberwachung unabh¨angig vom (gut gemeinten) Ziel der besseren Betreuung durch Lehrende. Die psychologische Entwicklung von Lernenden bzgl. ihres Alters impliziert unterschiedliche Relevanz von Vorerfahrung und dem Drang nach Selbstbestimmung in ihrem Lernprozess (vgl. [4]). Anwendungsorientierung gewinnt mit steigender Erfahrung und abnehmender Lernleistung immer mehr an Bedeutung. All diese Aspekte sind im Sinne gleicher Chancen entsprechend der Zielgruppe zu ber¨ucksichtigen. Weiterhin ergibt sich die Forderung nach Chancengleichheit bzgl. des erwarteten Vorwissens. Dies stellt sich bei E-Learning in zweierlei Hinsicht dar. Das Erwarten nicht

380

vorhandener Vorkenntnisse den Lerninhalt betreffend ist ein Problem das in allen Bildungseinrichtungen existiert und durch anf¨angliches Abholen“ bei dem aktuellen Wis” senstand in der Regel l¨osbar ist. Links zur Einf¨uhrung und Hintergrundinformationen, sowie Terminologie f¨ur das jeweilige Themengebiet lassen sich leicht integrieren. Vorwissen bzgl. der Verwendung von Informatiksystemen hingegen ist schwieriger zu handhaben. F¨ur Chancengleichheit darf von Lernenden nicht erwartet werden, dass sie ohne Hilfestellung wissen, wie ben¨otigte Aufgaben mit dem System zu erledigen sind. Erkenntnisse aus Software-Ergonomie und Mensch-Computer-Interaktion k¨onnen f¨ur eine angemessene Benutzungsschnittstelle u¨ bernommen werden. Weiterhin gilt auch hier der Grundsatz der ausf¨uhrlichen Dokumentation und Hilfestellung. ¨ P2 : Soziale Unterstutzung durch Kooperation und Kommunikation F¨ur Kommunikation ergeben sich haupts¨achlich zwei Gr¨unde. Zum einen ist es ein psychologisches Bed¨urfnis, mit anderen soziale Kontakte aufzubauen und diese zu pflegen: Whatever else we know or don’t know about human beings, one thing is clear – we are ” essentially social beings.“ [14, S. 7]. Zum anderen bringt es aber auch signifikante Vorteile beim Lernen. Es ist wichtig und motivierend, Gedanken zu teilen und die eigene Sicht auf Lerninhalte anderen Lernenden mitzuteilen. Beal spricht hier von broaden their view” points, gain understanding and crystallize their thinking“ [3, S. 182]. Lave und Wenger [13] pr¨agten den Begriff des situierten Lernens, der die Relevanz der sozialen Umgebung eines Lernenden, sowie seiner Beziehungen zu anderen Lernenden hervorhebt. Kommunikation wird hierbei als ein Grundprinzip erfolgreichen Lernens verstanden. E-LearningSysteme m¨ussen solche Bed¨urfnisse ermutigen und bei der Kommunikation, sowie bei kooperativem Lernen unterst¨utzen. Folglich ergibt sich aus diesem Ansatz die Notwendigkeit der ausreichenden Ausstattung an Kommunikationsm¨oglichkeiten, um Wissen auszutauschen und in Kontakt mit anderen Lernenden zu treten. Vor allem erwachsene Lernende brauchen das Gef¨uhl der Selbstst¨andigkeit, so dass ihnen die Gelegenheit gegeben werden sollte, u¨ ber diesen Weg eigene Theorien zu verifizieren und zu verfeinern, sowie Best¨atigungen oder Korrekturhinweise bzgl. ihrer Lernschritte zu erhalten (vgl. [10]). Kommunikationstechnologien wie E-Mail, Chats und Diskussionsforen werden verwendet, um Lernende zu ermutigen, ihre Ideen mit anderen auszutauschen. Mittlerweile wird gelegentlich der Begriff E-Learning 2.0“ in Anlehnung an Web 2.0“ verwendet, um auf ” ” die steigende Verwendung kooperativer Software wie Blogs oder Wikis hinzuweisen, die in letzter Zeit sehr an Popularit¨at gewonnen haben, und Publikationsm¨oglichkeiten f¨ur mehrere Nutzer bieten. P3 : Aktivit¨aten von Lernenden als wichtiger Teil des Lernprozesses Der kognitive Lernprozess wurde im letzten Jahrhundert sehr ausf¨uhrlich und mit verschiedenen Ans¨atzen psychologisch untersucht, was in Lerntheorien wie Behaviorismus, Kognitivismus oder Konstruktivismus (vgl. [16, 19]) resultierte. Jede dieser Theorien beschreibt ein Modell, wie Wissen gewonnen wird, und folglich, wie Lernen stattfinden sollte, um m¨oglichst effizient zu sein. Die momentan weitl¨aufigste Akzeptanz findet der Ansatz des Konstruktivismus, bei dem davon ausgegangen wird, dass Lernen kein externes Einfl¨oßen von Wissen (vgl. N¨urnberger Trichter“), sondern ein aktiver Prozess der ” Wissenskonstruktion in jedem einzelnen Lernenden ist. Daraus folgt, dass Aktivit¨at und Teilnahme am Lernprozess deutlich an Wert gewonnen haben und zur Beachtung dieser

381

Lerntheorie auch auf ein Informatiksystem u¨ bertragbar sein m¨ussen. Betrachtet man die verschiedenen Lerntheorien, so wird deutlich, dass sich nicht alle Theorien mit vergleichbarem Aufwand implementieren lassen. Je komplexer sich eine Theorie zur Wissensaneignung Lernender darstellt, desto komplexer stellen sich auch die Methoden zur Interaktion mit Lernenden im E-Learning-System dar. Obwohl es deutlich einfacher w¨are, ein System mit sehr geringem Grad an Interaktion zu implementieren (vgl. einfache R¨uckmeldung richtig/gut“ bzw. falsch/schlecht“ bei behavioristischer Ausrichtung), m¨ussen ” ” E-Learning-Systeme in Hinblick auf komplexere Lerntheorien wie Konstruktivismus entsprechende M¨oglichkeiten er¨offnen, aktiv zu werden, und die Lernenden teilhaben zu lassen bei der Steuerung ihres Lernprozesses. Dies impliziert einen deutlich h¨oheren Grad an Interaktivit¨at und erh¨oht damit die Komplexit¨at der Implementierung signifikant. P4 : Priorit¨at liegt beim Lernen E-Learning zielt prim¨ar auf die Unterst¨utzung des Lernens, nicht auf die Verwendung von Informatiksystemen per se [9]. Es gilt folglich, die Aufmerksam auf die Lerninhalte zu b¨undeln und Ablenkungen zu vermeiden, die aufgrund der Universalit¨at von Informatiksystemen entstehen k¨onnen. Offensichtlich ist Lernen zu priorisieren gegen¨uber der Besch¨aftigung mit technischen Problemen. In Verbindung damit stehen Forderungen nach einer angenehmen Lernumgebung, was durch u¨ berm¨aßige externe Eingriffe und Grenzen aufgrund fehlender Funktionen verletzt sein k¨onnte. Lernende in traditioneller Lehre k¨onnen ihre Lernumgebung in gewissen Grenzen formen und kontrollieren, wohingegen dies u¨ berwiegend nicht m¨oglich ist in Informatiksystemen, die von fremden Personen administriert werden. Folglich sollten Erscheinungsbild, transparentes Verhalten von Informatiksystemen und fortgeschrittene Benutzerfreundlichkeit mit geeignetem Grad an Personalisierbarkeit im Sinne der Anpassung an eigene Bed¨urfnisse n¨aher in Betracht gezogen werden. Wenn Lernende sich auf Lernen konzentrieren sollen, dann muss das System hinter diesem Zweck verschwinden. Interaktion mit dem System selbst, d.h. ohne Lerninhalte zu betreffen, sollte f¨ur die Zeit des Lernens auf ein Minimum begrenzt werden k¨onnen. P5 : Flexibilit¨at und Anpassbarkeit Da Gruppen von Lernenden sehr unterschiedlich sein k¨onnen, z.B. bez¨uglich Alter, Geschlecht, Motivation, Vorwissen oder Beruf, folgt, dass ein System an die jeweiligen Bed¨urfnisse und Anforderungen einer speziellen Zielgruppe flexibel und genau angepasst werden k¨onnen muss. Aktuelle Modelle von Lernen propagieren zudem eine Verlagerung der Verantwortlichkeit von Lehrenden auf die Lernenden, d.h. lernerzentrierte Szenarien: The ” design aims towards a usercentred, trainee-centred, interactive, collective, collaborative structure for the webbased learning environment that allows the individual to collect, organize and recontextualize knowledge.“[12, p. 1]. Dies hat zur Folge, dass flexibles Handeln im System f¨ur alle Beteiligten erm¨oglicht werden muss. Die Spanne zwischen tats¨achlichem Vorwissen und den Erwartungen durch Lehrende in einem Kurs begr¨undet zudem die Forderung nach Flexibilit¨at im Sinne der Vernetzung unterschiedlichster interner und externer Ressourcen zum Zweck des individuellen Vor- und Nachbereitens von Lerninhalten. P6 : Integration von E-Learning in die Lernumgebung Lernen ist ein Prozess, der eine sorgf¨altig gestaltete Lernumgebung erfordert. Die Hauptbewegung geht hierbei zum sog. Blended Learning. Das bedeutet, dass traditionelle Lehre

382

und E-Learning kombiniert eingesetzt werden. Jedoch sollte nicht jede Form computerunterst¨utzten Lernens als Blended Learning betitelt werden. Stacey und Gerbic haben mehrere Definitionsversuche analysiert und zu folgender Definition vereint: In our application ” of the term blended learning, ICT may be used to either enhance the dominant mode of face-to-face on-campus interaction and or may provide a blend of synchronous and asynchronous media (that can also include face-to-face classes) to complement a dominant mode of distance education.“ [17, p. 3]. Die Integration von E-Learning in existierende Lernumgebungen sollte derart erfolgen, dass keine logischen Br¨uche entstehen, z.B. durch deutlich komplexere Arbeitsschritte im Vergleich zu vorher. Eine Verbindung verschiedener Teilsysteme zu einer Anwendung, die sich uniform nutzen l¨asst und konsistent aufgebaut ist, ist anzustreben.

3.2

Aspekte der Informationssicherheit

Es ist zu beachten, dass Sicherheit von E-Learning nicht auf technische Systeme beschr¨ankt werden darf [20]. Es ist notwendig, die gesamte Umgebung einschließlich der organisatorischen Prozesse des Lehrens, der Administration und der Pr¨ufungen abzudecken. Daraus folgt, dass in sinnvolle Sicherheitsbetrachtungen alle beteiligten Nutzer integriert werden m¨ussen. Es ergibt sich hierf¨ur eine Kombination aus Zielen, Personen, Abl¨aufen ˚ und Werkzeugen (vgl. [15, S. 32]). Unter Verwendung dieser Erkenntnis f¨uhrten Ahlfeldt et al. [1] ein erweitertes Sicherheitsmodell ein, das organisatorische Sicherheit hervorhebt. Das resultierende TFI-Modell (drei Hauptteile f¨ur Sicherheit: TFI=technical-formalinformal Security) betrachtet technische Sicherheit als lediglich ein Drittel der gesamten Sicherheitsuntersuchung. Zus¨atzlich dazu wird formal-administrative Sicherheit ben¨otigt, d.h. externe Regelungen, z.B. durch Gesetze und u¨ bergestellte Reglementierungen, sowie interne Richtlinien mit lokalen Adaptionen und feine Abstimmungen, um exakt auf die jeweilige Situation zu passen. Diese Reglementierungen m¨ussen erstellt und verifiziert werden, um die Umgebung sicher zu halten. Informal-administrative Sicherheit als dritter Teil des Modells zielt auf die Anwender im System. Sicherheitsrichtlinien sind nur von Wert, wenn alle beteiligten Personen sich deren Bedeutung und m¨oglicher Konsequenzen der Nichteinhaltung bewusst sind, so dass sie gar nicht erst versuchen, Grenzen im System zu unterwandern. Daraus folgt, dass informal-administrative Sicherheit versucht, u¨ ber die Relevanz von Sicherheitmaßnahmen aufzukl¨aren. Weiterhin ist hierbei von Bedeutung, dass Benutzer des Systems relevante Arbeiten einfach und schnell erledigen k¨onnen, so dass Schulungen zur Verwendung und der Effizienzsteigerung in diesen Bereich fallen. Aufgrund der vielf¨altigen Auspr¨agungen von E-Learning-Systemen, z.B. Pr¨asentationssystem vs. Pr¨ufungssystem, wird die folgende (abstrakte) Definition f¨ur Sicherheit verwendet, die bzgl. des geforderten Sicherheitslevels innerhalb der Teilaspekte weitreichend Spielraum f¨ur situative Anpassungen l¨asst: Ein E-Learning-System wird sicher genannt, wenn es Verf¨ugbarkeit (S1 ), Integrit¨at (S2 ) und Vertraulichkeit (S3 ) f¨ur alle Benutzer garantiert in Kombination mit entsprechenden Zugriffskontrollmechanismen (S4 ).

383

Hierbei seien die Punkte S1 bis S4 wie folgt gegeben: S1 Verf¨ugbarkeit: Ein E-Learning-System wird verf¨ugbar genannt, wenn es immer u¨ ber das Netzwerk erreichbar ist, sobald es gebraucht wird, und die Anbindung ausreichend Ressourcen und Qualit¨at bietet. Service-Zeiten m¨ussen kurz gehalten und rechtzeitig angek¨undigt werden. Fehler sollten schnellstm¨oglich beseitigt werden, um Beeintr¨achtigungen zu begrenzen. S2 Integrit¨at: Modifikationen von u¨ bertragenen und gespeicherten Daten m¨ussen erkennbar sein. F¨ur technischen Defekt als Ursache k¨onnen Fehlertoleranzen und Fehlererkennung angewandt werden. Falls es durch b¨oswillige Angriffe begr¨undet ist, so m¨ussen Urheber und Kontext aufgedeckt werden k¨onnen. S3 Vertraulichkeit: F¨ur die Sicherheit pers¨onlicher Informationen (Datenschutz), z.B. Lernfortschritt, m¨ussen Daten geheim gehalten werden. Es sollte der Entscheidung jedes einzelnen Benutzers u¨ berlassen sein, welche Daten, z.B. L¨osungen und Probleme, an andere Personen weitergegeben oder verworfen werden. S4 Zugriffskontrolle: Benutzer d¨urfen ihre Rechte nicht u¨ bertragen oder steigern k¨onnen, selbst wenn mehrere Benutzer zusammenarbeiten.

4

¨ Sicherheit im E-Learning Implikationen fur

Um die Sicherheitsanforderungen im E-Learning zu untersuchen, werden die aufgestellten Kriterien aus der Erziehungswissenschaft mit den Aspekten der Informationssicherheit kombiniert. Als Basis f¨ur dieses Mapping dient das vorgestellte TFI-Modell, nach dem sich die folgenden drei Bereiche ergeben: Technische Sicherheit: Es ist eine geeignete Infrastruktur aufzusetzen und sicherzustellen, dass diese der Menge an Daten auch in Zeiten von hohem Datenaufkommen gerecht wird. Um langen Verz¨ogerungen bei der Kommunikation oder unzuverl¨assiger, angreifba¨ rer Ubertragung von Inhalten vorzubeugen, sollten das Filtern fehlerhafter Pakete, Load Balancing von eingehenden Anfragen und Quality-of-Service (QoS) f¨ur Netzverbindungen in Betracht gezogen werden. Dies erm¨oglicht effizienten Datenaustausch (vgl. P2 ). Zus¨atzlich dazu sollte in Produktivumgebungen ein redundanter Aufbau mit R¨uckfallsystemen sichergestellt sein, so dass fehlerhafte Teile einfach und ohne Unterbrechung des Angebotes durch andere ersetzt werden k¨onnen, d.h. business continuity“ [20]. Dies stellt ” die Verf¨ugbarkeit mit entsprechender Qualit¨at sicher (vgl. S1 ). Um in Kontakt mit anderen Lernenden zu treten, muss das System entsprechende Funktionen bieten (vgl. P2 ). F¨ur kooperative Arbeit wird eine zuverl¨assige Ablage auf einem zentralen Server erwartet, sowie die Koordination von verschiedenen Versionen und gleichzeitigem Zugriff auf bestimmte Dateien. Regelm¨aßige Datensicherung ist obligat.

384

Um Privilegien und Identit¨aten f¨ur Zwecke der Zugriffskontrolle korrekt zuweisen zu k¨onnen, sind Funktionalit¨aten f¨ur eine angemessene Authentifikation n¨otig. Es ist hierf¨ur sinnvoll, bekannte und einfach anzuwendende Authentifikationssysteme (vgl. P4 ) mit ausreichender Sicherheit zu verwenden. Fortgeschrittene Authentifikationsmethoden wie Biometrie oder Challenge-Response-Methoden, z.B. unter Verwendung von digitalen Signaturen, sind sinnvoll, aber nicht in allen Umgebungen anwendbar. In Bezug auf kollaborative Arbeit ist die Datenintegrit¨at essentiell. Das System muss garantieren, dass niemand b¨oswillig Ergebnisse ver¨andern kann, die zwischen teilnehmen¨ den Personen ausgetauscht werden, zumindest nicht, ohne dass diese Anderungen zeitnah aufgedeckt werden. Datenintegrit¨at ist ebenfalls wichtig bzgl. der Korrektheit von Lernmaterial sowie pers¨onlichen Daten. Speziell Information f¨ur die Benotung von Lernenden und der Ausstellung von Zertifikaten darf nicht ge¨andert worden sein. Digitale Signaturen k¨onnen helfen, solche Manipulationen durch Dritte aufzudecken. Wenn Pr¨ufungen computergest¨utzt durchgef¨uhrt werden sollen, m¨ussen Routinen existieren, die daf¨ur sorgen, dass Zeit-Fairness (vgl. P1 ) sowie zuverl¨assige Verbindungen zwischen Client und Pr¨ufungsserver sichergestellt werden [8]. Es ist darauf zu achten, dass allen Pr¨uflingen nur die gleiche Menge an Hilfsmitteln zur Verf¨ugung steht. Mit Hilfe kryptographischer Verfahren kann eine sichere Daten¨ubertragung im Sinne der Vertraulichkeit und Integrit¨at sichergestellt, sowie eine Fehlererkennung implementiert werden. F¨ur eine nahtlose Integration von E-Learning in existierende Lernumgebungen m¨ussen ELearning-Elemente so arbeiten, dass der Einsatz nicht st¨orend wirkt. Eine Anbindung an relevante, weitere Systeme unter Ber¨ucksichtigung sicherheitstechnischer Kriterien kann hierbei unterst¨utzen (vgl. P6 ). Um technische Komponenten hinter den Lernzielen verschwinden zu lassen, ist die Menge systembezogener Interaktionen zu minimieren (vgl. P4 ). Daraus folgt, dass, wenn mehrere Systeme zusammengeschlossen wurden, wobei jedes dieser Teilsysteme eine Authentifikation ben¨otigt, eine Single-Sign-On-L¨osung bevorzugt werden sollte. Mit Single-Sign-On, z.B. Shibboleth, Kerberos oder Verzeichnisdiensten, m¨ussen sich Lernende nur noch einmal an einem zentralen Server anmelden und jedes Teilsystem kann anschließend den zentralen Server kontaktieren bevor im Fall von nicht ausreichender Berechtigung oder Authentifikation der Benutzer erneut gebeten wird, sich f¨ur dieses System zu authentifizieren. Formal-administrative Sicherheit: F¨ur diese Form der Sicherheit sind Richtlinien zu erstellen, wer in welcher Art und Weise und in welchem Umfang innerhalb des Systems agieren darf und wie bei bestimmten Ereignissen, z.B. bei Sicherheitsvorf¨allen, weiter verfahren wird. In der Umsetzung genießen vor allem Zugriffsrechte hohe Aufmerksamkeit, da mit einer ausreichend detaillierten und angemessenen Rechteverteilung erm¨oglicht wird, dass Lernende aktiv sein k¨onnen ohne andere zu st¨oren und selbst durch unautorisierte Aktionen abgelenkt zu sein (vgl. P3 ,P4 ). Mit Blick auf hierarchische Strukturen in traditioneller Lehre erscheinen rollenbasierte Zugriffskontrollen besonders geeignet. Da die Zahl der beteiligten Rollen sich stark unterscheiden kann in verschiedenen Kursen, folgt, dass rollenbasierte Zugriffsmechanismen flexibel erweiterbar sein sollten. Es wird hierf¨ur ein Ansatz mit globalen und lokalen Rollen empfohlen. Globale Rollen k¨onnen verwendet werden f¨ur allgemeine kursunabh¨angige Privilegien, die durch den Systemadministrator vergeben werden. Innerhalb von Kursen sollten Lehrende die M¨oglichkeit besitzen, eigene lokale Rollen zu erstellen und diese zu verwalten. Das erm¨oglicht eine feinere Einstel-

385

lung und Verteilung von Berechtigungen, da f¨ur alle beteiligten Personen und Gruppen in Kursen eigene Einstellungen erfolgen k¨onnen. Hierdurch ergibt sich eine flexible Lernumgebung, die auch Anpassungen hinsichtlich der Zielgruppe erlaubt (vgl. P5 ). Um Bedenken bzgl. weitreichender Folgen von Aktivit¨aten im System zu vermeiden, sollte darauf geachtet werden, dass vor allem kritische Aktionen mit Warnhinweisen versehen werden. Wenn jede Aktion Schaden am System anrichten k¨onnte und solche Aktionen nicht r¨uckg¨angig gemacht werden k¨onnen, kann das zu Unsicherheit und u¨ berm¨aßiger Vorsicht bis hin zu Inaktivit¨at f¨uhren (vgl. P3 ). Bez¨uglich der Vertraulichkeit ergeben sich verschiedene Sichten. Der Verlust von personenbezogenen Daten wie Name oder Adresse ist bereits problematisch, der Verlust noch privaterer und intimerer Daten u¨ ber den Lernfortschritt, das Verst¨andnis des Lernmaterials und der Inhalte privater Kommunikation ist jedoch noch schlimmer. Bedenken bzgl. der Vertraulichkeit solcher Daten k¨onnen Lernende abschrecken, an Kommunikation und Kooperation teilzunehmen – gerade wenn langfristige Datenspeicherung zu erwarten ist, so dass aktuell ge¨außerte Meinungen noch weit in der Zukunft zu ihrem Nachteil gereichen k¨onnten, obwohl diese Meinungen bis dahin schon u¨ berholt sind (vgl. P2 ). Unterschiedliche Ansichten bzgl. der Betreuungsabsicht der Lehrenden gegen¨uber der Forderung nach Privatheit bei Lernenden wurden weiter im Detail in [6] er¨ortert. F¨ur Richtlinien im System spielt diesbez¨uglich die Zielgruppe (vgl. P1 ,P5 ) und die Absprachen vor Beginn der Ausbildung eine große Rolle. F¨ur den Fall von Sicherheitsvorf¨allen sind entsprechende Maßnahmen zu u¨ berlegen und Pl¨ane hierf¨ur bereitzulegen, z.B. ein Team von Experten, das den Angriff analysiert und pr¨uft, was urs¨achlich war f¨ur eine Sicherheitsl¨ucke. Ziel hierbei ist, Fehler in anderen Systemen zu vermeiden [7]. Weiterhin erlaubt dieses Vorgehen die strafrechtliche Verfolgung von Angreifern, um entstandene Sch¨aden geltend zu machen. Informal-administrative Sicherheit: Um die Fehleranf¨alligkeit“ auf Benutzerseite zu ” minimieren, sollten E-Learning-Systeme m¨oglichst einfach verwendbar sein und lernrelevante Elemente gegen¨uber kritischeren, technischen Elementen hervortreten (vgl. P4 ). Da davon ausgegangen werden muss, dass nicht alle Lernenden Erfahrung in Bezug auf die Verwendung von Informatiksystemen mitbringen, ist eine kleine Einf¨uhrung in die Benutzung der komplexen Software vor den eigentlichen Kursen sinnvoll. Mit einer solchen ¨ Einf¨uhrung besteht die M¨oglichkeit, Uberlegungen hinter gewissen Sicherheitseinstellungen und Konzepten zu erkl¨aren, um Lernenden ein Verst¨andnis der Notwendigkeit und m¨oglicher Konsequenzen von Fehlverhalten zu vermitteln. Ziel ist, die Bereitschaft zu steigern, solche Mechanismen zu akzeptieren statt Wege zu suchen, sie zu umgehen. Um im Fall von technischen Problemen schnell und einfach Hilfe zu erhalten, sind Kontaktm¨oglichkeiten vorzuhalten, z.B. u¨ ber eine Hotline (vgl. P4 ). In Bezug auf die Benutzungsschnittstellen k¨onnen sich signifikante Unterschiede ergeben (vgl. P1 ,P5 ,P6 ), wenn man z.B. die Gruppe der Kinder, die eher spielerisch lernen mit vielen Anwendungen, um aktiv zu werden, und die Gruppe der Erwachsenen, die Fakten gegen¨uber Spielen bevorzugen und auch Teile u¨ berspringen wollen, wenn diese bereits bekannt sind, betrachtet. Es ist hierbei zu unterscheiden, wie komplex die M¨oglichkeiten f¨ur Anwender sein sollen oder d¨urfen, das System eigenen Vorstellungen anzupassen (vgl. P1 im Sinne altergerechter Anpassbarkeit). Eine Kombination verschiedener Systeme wie dem Verwaltungssystem einer Einrichtung, dem E-Learning-System und z.B. der Bibliothekskatalogsuche in eine Lernumgebung kann

386

¨ zu einer Vereinfachung f¨ur Lernende f¨uhren. Ahnlich der Forderungen ungest¨orter Konzentration auf die Lernziele (P4 ) ergibt sich die Forderung, dass Lernumgebungen mit integrierten E-Learning-Systemen m¨oglichst einheitlich, ohne der regelm¨aßigen Notwendigkeit sich selbst an neue Erscheinungen und Bedienvarianten anzupassen, verwendet werden k¨onnen (vgl. P6 ). Die Verwendung eines Corporate Designs kann hierbei hilfreich sein.

5

Zusammenfassung und Ausblick

Wir haben sechs Kriterien vorgestellt f¨ur ein E-Learning-System, das aus erziehungswissenschaftlicher Sicht Lernen unterst¨utzen kann. Da jedes Kriterium bei Anwendung und Einbringen in die Implementierung des Systems dessen Komplexit¨at steigert, ergaben sich Implikationen f¨ur Informationssicherheit, um vor m¨oglichen Problemen zu sch¨utzen. In diesem Artikel wurden daf¨ur sicherheitsrelevante Themen in Verbindung mit den genannten Designkriterien gebracht und anhand der Zuordnung zu den Teilen des TFI-Sicherheitsmodells diskutiert. ¨ Hauptziel der Uberlegungen zur Informationssicherheit im E-Learning liegt auf der ungest¨orten Konzentration von Lernenden auf ihren Lernprozess, so dass Sicherheitsmechanismen m¨oglichst transparent und ohne Ablenkung zu integrieren sind. In [5] wurde ein Proxy-Server als Proof-of-Concept implementiert, der alle genannten Kriterien erf¨ullt. Das Konzept betrachtet hierbei den Proxy-Server als eine Art pers¨onlicher Sekret¨ar mit Sicherheitsaufgaben, der alle technischen Angelegenheiten des Lernenden u¨ bernehmen kann, ohne auf u¨ berm¨aßige Interaktion mit Lernenden angewiesen zu sein. Als Beispielaufgabe wurde f¨ur den Prototyp die digitale Signierung von Lernmaterialien und Nachrichten an E-Learning-Systeme implementiert. Dieses Beispiel erm¨oglicht die Verifikation von empfangenen Daten und damit die Kontrolle auf Integrit¨at. Von diesem Beispiel ausgehend lassen sich beliebige Erweiterungen des Proxy-Servers implementieren, z.B. der Authentifikation mit Challenge-Response-Verfahren, um, ohne die Lernenden zu st¨oren, technische Sicherheitsvorg¨ange automatisieren zu lassen. Da es sich bei dem Proxy-Server jedoch um ein Programm mit begrenzten semantischen Analysef¨ahigkeiten handelt, ist davon auszugehen, dass mit Blick auf versierte Anwender, die Sicherheit nicht zwangsl¨aufig erh¨oht wird. Bei Betrachtung wenig versierter Lernender, die sich nicht mit technischen Themen befassen m¨ochten, kann die Verwendung einen deutlichen Sicherheitsvorteil bringen, da sich so trotzdem Sicherheitkonzepte integrieren lassen, ohne den Lernenden damit zu belasten und Fachkenntnisse zu verlangen. Es liegt noch im Bereich der Forschung inwiefern und unter welchen Bedingungen die Verwendung des Proxy-Servers Sicherheitsvorteile erwarten l¨asst.

Literatur ˚ [1] Ahlfeldt, R.-M.; Spagnoletti, P.; Sindre, G.: Improving the Information Security Model by using TFI. In: [18], pp. 73-85, 2007.

387

[2] Anderson, A.: Effective Management of Information Security and Privacy. Educause Quarterly, Journal, no. 1/2006, pp. 15-20, 2006. [3] Beal, G.M.; Bohlen, J.M.; Raudsbaugh, J.N.: Leadership and Dynamic Group Action. Iowa State University Press, Ames, Iowa, 1962. [4] Biggs, J.B.; Moore, P.J.: The Process of Learning. Third edition, Prentice Hall, New York, 1993. [5] Eibl, C.J.; von Solms, S.H.; Schubert, S.: Development and Application of a Proxy Server for Transparently, Digitally Signing E-Learning Content. In: [18], pp. 181-192, 2007. [6] Eibl, C.J.: Information Security in E-Learning. In: Abbott, C.; Lustigova, Z. (Eds.): Information Technologies for Education and Training. Proc. of IFIP iTET, University of Prague, pp. 204-213, 2007. [7] Geschonnek, A.: Computer-Forensik. 2. Auflage, iX Edition, dpunkt, Heidelberg, 2006. [8] Graf, F.: Lernspezifische Sicherheitsmechanismen in Lernumgebungen mit modularem Lernmaterial. Dissertation, TU Darmstadt, 2002. [9] Hamid, A.A.: e-Learning: Is it the “e” or the learning that matters? Internet and Higher Education, Vol. 4, No. 3, pp. 311-316, 2002. [10] Hills, P.J.: Teaching and Learning as a Communication Process. Croom Helm London, 1979. [11] Knowles, M.S.; Holton, E.F.; Swanson, R.A.: The Adult Learner – the definitive classic in adult education and human resource development. 6th Edition, Elsevier, Amsterdam, 2005. [12] Koulountzos, V.; Seroglou, F.: Designing a web-based learning environment. The case of ATLAS. In: Benzie, D.; Iding, M. (eds.): Proceedings of IFIP-Conference on Informatics, Mathe” matics and ICT: A golden triangle“, Boston, USA, 2007, ISBN-13: 978-0-615-14623-2. [13] Lave, J.; Wenger, E.: Situated learning: Legitimate peripheral participation. New York: Cambridge University Press, 1991. [14] Linskie, R.: The Learning Process: Theory and Practice. Litton Educational Publishing, New York, 1977. [15] McCarthy, M.P.; Campbell, S.: Security Transformation: Digital Defense Strategies to Protect Your Company’s Reputation & Market Share. McGraw-Hill, New York, 2001. [16] Skinner, B.F.: Science and Human Behavior. URL: http://www.bfskinner.org/ SHBtext.pdf, 1953, online publiziert: 2005. [10.08.2007] [17] Stacey, E.; Gerbic, P.: Teaching for blended learning. How is ICT impacting on distance and on campus education? In: Kumar, D.; Turner, J. (eds.): Education for the 21st Century-Impact of ICT and Digital Resources: Proceedings of the IFIP 19th World Computer Congress, TC-3, Education, Springer, Boston, 2006, pp. 225-234. [18] Venter, H.; Eloff, M.; Labuschagne, L.; Eloff, J.; von Solms, R. (Eds.): New Approaches for Security, Privacy and Trust in Complex Environments. IFIP sec2007, Springer, New York, 2007. [19] Vygotsky, L.: Mind in society. Cambridge, MA: Harvard University Press, 1978. [20] Weippl, E.R.: Security in E-Learning. Springer Verlag, New York, 2005.

388